持续风险评估

随着便携式计算设备和互联网的使用增加,Citrix Workspace 用户可以在几乎任何位置和任何设备上工作。这种灵活性所面临的挑战是,远程访问会通过数据泄漏、盗窃、破坏和服务中断等网络犯罪活动使敏感数据面临安全风险。组织内的雇员也可能造成这种损害。

解决此类风险的一些常规方法是实施多因素身份验证、短登录会话等。尽管这些风险评估方法确保了更高级别的安全性,但在用户初始验证后,它们不能提供完整的安全性。如果恶意用户成功获得对网络的访问权限,则会滥用对组织有害的敏感数据。

为了增强安全性并确保更好的用户体验,Citrix Analytics 引入了持续风险评估解决方案。此解决方案通过确保 CVAD 用户的风险与初始阶段验证时的风险保持相同,而无需用户每次证明,从而保护您的数据免受外部网络犯罪分子和恶意内部人士的影响。通过在会话期间持续评估风险事件,并通过自动应用措施来防止组织的资源进一步滥用来实现此解决方案。

持续风险评估

用例

考虑一个用户亚当·麦克斯韦,谁能够访问网络的第一次后,多次失败的登录尝试从一个不寻常的位置,这违背了他们的通常行为。此外,该位置有网络攻击的跟踪记录。在这种情况下,您需要立即采取措施,以避免亚当的帐户进一步滥用。您可以锁定 Adam 的帐户并通知他所采取的行动。此操作可能会暂时对用户帐户造成服务中断。用户可以联系管理员以获得恢复帐户的帮助。

考虑另一种情况,即 Adam 首次从新设备和新 IP 访问网络。您可以联系亚当,询问他是否识别了这个活动。如果是这样,可能是亚当改变了他的工作设备,并在他的家庭网络上工作。此活动不会对您的组织的安全造成任何伤害,可以忽略此活动。但是,如果用户没有执行此活动,则帐户可能已被盗用。在这种情况下,您可以锁定用户的帐户,以防止任何进一步的损坏。

主要功能

持续风险评估可实现与策略和可见性控制板相关的一些功能的自动化:

支持多种条件

创建或修改策略时,最多可添加四个条件。这些条件可以包含默认风险指标和自定义风险指标、用户风险评分或两者的组合。

有关详细信息,请参阅什么是策略

在应用操作之前通知用户

在对用户帐户应用适当的操作之前,您可以通知用户并评估已检测到的异常活动的性质。

有关详细信息,请参阅请求用户响应

应用操作后通知用户

对于某些活动,在应用操作之前等待用户响应可能会使用户帐户和组织的安全面临风险。在这种情况下,您可以在检测到异常活动时应用破坏性操作,并通知用户相同的操作。

有关详细信息,请参阅应用破坏性操作后通知用户

强制执行和监控模式

您可以根据要求将策略设置为强制或监控模式。执行模式下的策略对用户帐户有直接影响。但是,如果要在实施策略之前评估策略的影响或结果,则可以将策略设置为监控模式。

有关详细信息,请参阅支持的模式

查看访问和策略控制板

使用访问摘要控制板,您可以深入了解用户的访问尝试次数。有关详细信息,请参阅访问摘要

使用策略和操作控制板,您可以深入了解应用于用户帐户的策略和操作。有关详细信息,请参阅策略和操作

默认策略

Citrix Analytics 引入了默认情况下在策略控制板上启用的预定义策略。这些策略是通过使用风险指标和用户风险评分作为预定条件创建的。将为每个默认策略分配一个全局操作。

有关详细信息,请参阅什么是策略

您可以使用以下默认策略或根据您的要求修改它们:

策略名称 条件 数据源 操作
成功的证书利用 触发登录失败异常登录访问授权失败风险指标时 Citrix Gateway 锁定用户
潜在的数据泄露 潜在数据泄露风险指标触发时 Citrix Virtual Apps and Desktops 注销用户
从可疑 IP 进行异常访问 触发异常登录访问来自可疑 IP 风险指示器的登录时 Citrix Gateway 锁定用户
从不寻常的位置访问不寻常的应用程序 触发异常应用程序使用情况异常登录访问风险指标时 Citrix Virtual Apps and Desktops 以及 Citrix Gateway 锁定用户
低风险用户-首次访问新 IP 当风险分数小于 70 的用户触发从新 IP 风险指标首次访问时 Citrix Gateway 请求用户响应
从设备首次访问 触发新设备首次访问风险指示器时 Citrix Virtual Apps and Desktops 请求用户响应

持续风险评估